HTTPS真的安全吗?—— 使用 mitmproxy 中间人攻击破解 GitHub 登录会话

Bruce_Liuxiaowei2026-01-03 8:36

HTTPS真的安全吗?------ 使用 mitmproxy 中间人攻击破解 GitHub 登录会话

1. 网络拓扑

复制代码 
Mac主机(192.168.1.21) → Win11虚拟机(192.168.1.31)
    |                         |
Chrome浏览器              mitmproxy监听
代理设置:192.168.1.31:9090   端口:9090(流量)/9091(web界面)

正确的配置步骤

步骤 1:在 Win11 虚拟机启动 mitmproxy

bash 复制代码 
# 启动 mitmweb,监听 9090 端口(与 Mac 代理设置一致)
mitmweb --listen-host 0.0.0.0 --listen-port 9090 --web-port 9091

# 或者如果您需要同时捕获 Windows 本地流量,可以添加 --allow-hosts
mitmweb --listen-host 0.0.0.0 --listen-port 9090 --web-port 9091 --allow-hosts ".*"

步骤 2:配置 Mac 主机 Chrome 代理

  1. 安装 SwitchyOmega 或其他代理扩展
  2. 新建情景模式:
    • 代理协议:HTTP
    • 代理服务器:192.168.1.31(Win11虚拟机IP)
    • 代理端口:9090
  3. 或使用系统代理设置:
bash 复制代码 
# 终端中设置
networksetup -setwebproxy "Wi-Fi" 192.168.1.31 9090
networksetup -setsecurewebproxy "Wi-Fi" 192.168.1.31 9090

步骤 3:安装 mitmproxy CA 证书

在 Mac 主机上:

  1. 访问 http://mitm.it(通过代理)
  2. 下载 macOS 证书
  3. 安装到钥匙串访问:
    • 双击证书安装
    • 在钥匙串访问中找到该证书
    • 右键 → 显示简介 → 信任 → 始终信任

步骤 4:开始捕获 GitHub 登录

  1. 在 Win11 打开 mitmweb 界面:http://127.0.0.1:9091
  2. 在 Mac Chrome 访问:https://github.com/login
  3. 输入账号密码登录
  4. 在 mitmweb 中观察流量

如何解密密码

从 截图中可以看到:

  1. 找到登录请求

    • 方法:POST
    • URL:https://github.com/session
    • Status:302(重定向)

  2. 查看请求表单数据

    复制代码 
    commit: Sign in
authenticity_token:  XqSNPnQ/Ht3CfaEh6m+D1tScBxxxxxxxxxxvWH03EAeaPIIBnQ==
login: [我的账号]
password: xxxx
webauthn-support: supported

完整实验命令参考

Win11 虚拟机端:

bash 复制代码 
# 方法 1:使用 mitmweb(推荐)
mitmweb --listen-host 0.0.0.0 --listen-port 9090 --web-port 9091 --ssl-insecure

# 方法 2:使用 mitmdump 输出到文件
mitmdump --listen-host 0.0.0.0 --listen-port 9090 -w github_traffic.mitm

# 方法 3:使用过滤器只捕获 GitHub 流量
mitmweb --listen-host 0.0.0.0 --listen-port 9090 -f "~d github.com"

验证配置:

  1. 在 Win11 检查防火墙:
bash 复制代码 
netsh advfirewall firewall add rule name="mitmproxy" dir=in action=allow protocol=TCP localport=9090
  1. 在 Mac 测试连接:
bash 复制代码 
curl --proxy http://192.168.1.31:9090 https://github.com

故障排除

常见问题 1:连接不上

bash 复制代码 
# Win11 查看端口监听
netstat -an | findstr :9090

# 临时关闭防火墙测试
netsh advfirewall set allprofiles state off

常见问题 2:证书错误

  1. 确保在 Mac 正确安装 mitmproxy CA
  2. 清除 Chrome 缓存和 SSL 状态
  3. 重启 Chrome 或使用隐私模式

常见问题 3:看不到 HTTPS 内容

确保:

  1. 代理设置正确
  2. 证书已安装并信任
  3. 访问 https://mitm.it 显示正常

实验结果分析

当您成功配置后,在 mitmweb 中应该能看到:

  1. POST https://github.com/session 请求
  2. 请求体中的 password 字段
  3. 302 重定向响应
  4. 后续的 Set-Cookie 操作
相关推荐
向量引擎13 小时前
AI Agent 安全元年:OpenClaw 投毒事件如何改变整个生态安全标准,
运维·人工智能·安全·自动化·aigc·api调用
菩提小狗13 小时前
每日安全情报报告 · 2026-04-06
网络安全·漏洞·cve·安全情报·每日安全
云栖梦泽13 小时前
【AI】AI安全工具:常用AI安全检测工具的使用教程
大数据·人工智能·安全
不灭锦鲤14 小时前
网络安全学习(面试题)
学习·安全·web安全
lingggggaaaa14 小时前
PHP原生开发篇&文件安全&上传监控&功能定位&关键搜索&1day挖掘
android·学习·安全·web安全·php
Wasim40415 小时前
【Linux】网络命令
linux·网络安全·linux网络命令·linux网络安全入门
Chockmans15 小时前
春秋云境CVE-2018-12613
安全·web安全·网络安全·春秋云境·cve-2018-12613
李白你好15 小时前
16个漏洞扫描器整合工具
网络安全
一名优秀的码农15 小时前
vulhub系列-60-The Planets: Earth(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
188号安全攻城狮16 小时前
【前端安全】Trusted Types 全维度技术指南:CSP 原生 DOM XSS 防御终极方案
前端·安全·网络安全·xss
热门推荐
01GitHub 镜像站点02OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程03Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)04AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南05VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)06Claude Code 未登录 使用第三方模型07Oh My Codex 快速使用指南08UV安装并设置国内源09最新更新版本,OpenClaw v2026.4.2 深度解读剖析:Task Flow 重磅回归与安全架构的全面硬化10【技术干货】Gemma 4 上手深度指南:本地多模态大模型的新基线